Bezpieczeństwo w e-commerce

Podobne dokumenty
Certyfikaty SSL.

Certyfikaty SSL. typu Extended Validation (EV) Gwarancja bezpieczeństwa dla odwiedzających i prestiż stron WWW.

IIS 7.5 Instalacja certyfikatów pośrednich na serwerze Windows 2008/2012. wersja 1.0

Certyfikaty SSL. Program Partnerski. Mniejszy koszt zaufanie większe zyski.

Jak postępować w przypadku fałszywych wiadomości ?

Bezpieczna bankowość ekonto24

Bezpieczna transmisja danych w oparciu o protokół SSL. Prelegent: Bartłomiej Natanek

1. Bezpieczne logowanie i przechowywanie hasła

Bezpieczeństwo usług oraz informacje o certyfikatach

Bezpieczna bankowość efirma24

Bezpieczeństwo bez kompromisów

Polityka prywatności

POLITYKA PRYWATNOŚCI ORAZ ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

Bezpieczeństwo systemu Rubinet

Bezpieczeństwo bez kompromisów

Przewodnik SSL d l a p o c z ą t k u j ą c y c h

Certyfikat niekwalifikowany zaufany Certum Silver. Instrukcja dla uŝytkowników Windows Vista. wersja 1.1 UNIZETO TECHNOLOGIES SA

Bezpieczeństwo bez kompromisów


INSTRUKCJA AKTYWACJI I INSTALACJI CERTYFIKATU ID

Bezpieczeństwo bez kompromisów

Niektóre typowe cechy wiadomości typu phishing to:

GIEŁDA NA ZIELONO. Czyli jak polskie spółki giełdowe dbają o bezpieczeństwo danych swoich klientów w Internecie.

Bezpieczeństwo bez kompromisów

Bezpieczeństwo bez kompromisów


Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA

Rejestracja bazy danych w GIODO. Poradnik dla administratorów sklepów w Chmurze Comarch

Bezpieczeństwo bez kompromisów

Bezpieczeństwo bez kompromisów

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

Instrukcja pobrania i instalacji. certyfikatu niekwalifikowanego na komputerze lub karcie kryptograficznej. wersja 1.4 UNIZETO TECHNOLOGIES SA

POLITYKA PRYWATNOŚCI

Bezpieczeństwo serwisu Oney24.pl

Serwis nie zbiera w sposób automatyczny żadnych danych, z wyjątkiem danych zawartych w plikach cookies podczas samego korzystania z Witryny.

Instrukcja pobrania i instalacji certyfikatu niekwalifikowanego na komputerze lub karcie. Instrukcja dla użytkowników. wersja 1.4

Bezpieczeństwo bez kompromisów

Bezpieczeństwo bez kompromisów

POLITYKA PRYWATNOŚCI

Bezpieczeństwo systemu ebanknet w Banku Spółdzielczym w Brańsku

Bezpieczeństwo bez kompromisów

Wiarygodność strony zawierającej formularz Banku Pocztowego moŝna łatwo rozpoznać po pasku adresowym przeglądarki i symbolach szyfrowania:

przewodnik po płatnościach internetowych dla użytkowników kart płatniczych wydanych przez Euro Bank S.A.

P O L I T Y K A P R Y W A T N O Ś C I. 1 Jak zbieramy dane?

POLITYKA PRYWATNOŚCI

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Sklepy Internetowe oferta

Bezpieczne logowanie to nie wszystko. Jak nie wpaść w pułapkę cyberprzestępców

KEVIN SAM W BANKU SGB ZAGROŻENIA ZWIĄZANE Z BANKOWOŚCIĄ INTERNETOWĄ

Rejestracja i logowanie do systemu e-bok EWE

Certyfikat niekwalifikowany zaufany Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.2 UNIZETO TECHNOLOGIES SA

Regulamin korzystania z usługi e-booking TRUCK

POLITYKA PRYWATNOŚCI. 1 Jak zbieramy dane?

Certyfikat kwalifikowany

Fundacja Ośrodka KARTA z siedzibą w Warszawie, przy ul. Narbutta 29 ( Warszawa),

Bezpieczna bankowość elektroniczna

Polityka ochrony danych osobowych w programie Norton Community Watch

Początek formularza Dół formularza

POLITYKA PRYWATNOŚCI

ArcaVir 2008 System Protection

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Instrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/1.1.1/2015

Bezpieczeństwo serwisu Oney24.pl

POLITYKA PRYWATNOŚCI

Exchange Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange wersja 1.0

POLITYKA PRYWATNOŚCI Serwisu interne.st

Polityka prywatności

POLITYKA PRYWATNOŚCI sklepu

POLITYKA PRYWATNOŚCI

Bezpieczeństwo bez kompromisów

POLITYKA PRYWATNOŚCI STRONY INTERNETOWEJ

Instrukcja składania wniosku on-line na PIU (na przykładzie wniosku o ustalenie prawa do świadczenia wychowawczego 500+)

Bezpieczeństwo bez kompromisów

JAK SAMODZIELNIE UTWORZYĆ POTWIERDZENIE DANYCH Z ZUS na portalu PUE ZUS

Administratorem danych osobowych Voida.pl (dalej Administrator), czyli odpowiedzialnym za zapewnienie bezpieczeństwa Twoim danym osobowym jest:

KSS Patron Zawody Instrukcja instalacji i obsługi programu do rejestracji na zawodach sportowych stowarzyszenia KSS Patron.

Zasady bezpiecznego korzystania z bankowości elektronicznej

Bezpieczeństwo serwisu Oney24.pl

POLITYKA PRYWATNOŚCI Polityka prywatności abcedukacja.pl I. Kto jest administratorem danych osobowych abcedukacja pl?

Polityka prywatności

Podręcznik użytkownika

Bezpieczeństwo bez kompromisów

BANKOWOŚĆ ELEKTRONICZNA DLA FIRM. BOŚBank24. iboss. Zasady bezpieczeństwa BOŚBank24 iboss.

PRZEJMIJ KONTROLĘ NAD SWOIM CYFROWYM ŻYCIEM. NIE BĄDŹ OFIARĄ CYBER OSZUSTW!

Polityka Prywatności Vemma Europe

REGULAMIN DOSTĘPU DO PANELU KLIENTA KLIENT.SYSTEM3.PL

Polityka Prywatności

Bezpieczeństwo bez kompromisów

Deutsche Bank db Makler. Bezpieczne korzystanie z platformy db Makler

POLITYKA PRYWATNOŚCI

Regulaminu korzystania ze strony internetowej i polityka prywatności

Europejski standard dla profesjonalnego sklepu internetowego. Rozwiązania w zakresie budowy zaufania w branży e-commerce

POLITYKA PRYWATNOŚCI probioteka.pl

POLITYKA PRYWATNOŚCI

Nowy regulamin obowiązuje od Regulamin Serwisu Internetowego

System Bankowości Internetowej ABS 24 - AUTORYZACJA za pośrednictwem kodów SMS -

Do jakich celów używamy komputera.

Transkrypt:

Bezpieczeństwo w e-commerce Poradnik Materiał poradnikowy na temat bezpieczeństwa w e-commerce w przystępny sposób przedstawia największe zagrożenia w prowadzeniu e-sklepu oraz rozwiązania pozwalające sobie z nimi radzić. www.certum.pl

SPIS TREŚCI Wstęp... 1. Bezpieczeństwo a klient... 2. Ataki i zagrożenia techniczne... 2.1 Phishing i pharming... 2.2 Ataki DDoS... 2.3 Nierzetelne i fałszywe systemy płatności... 2.4 Spoofing... 2.5 Wirusy i włamania do komputera... 3. Prawne kwestie bezpieczeństwa danych... 4. Pierwsze przykazanie bezpieczeństwa sklepu internetowego certyfikat SSL... 5. Rozważne zarządzanie... 6. Wnioski... Informacje na temat firmy... 3 4 5 6 7 8 9 10 10 12 15 15 15 2 www.certum.pl

Wstęp W tradycyjnym sklepie kłódka, alarm i kraty, a co z bezpieczeństwem e-biznesu? Zabezpieczenie e-biznesu jest sprawą kluczową, lecz nie należy do zadań najłatwiejszych. Cyberprzestępcy, nieuczciwa konkurencja, błędy ludzkie, a czasem awarie techniczne są jednymi z przyczyn zagrożeń, na które narażeni są sprzedawcy w sieci jest bardzo wiele. Finalnie liczy się i tak efekt szkód, który zawsze przekłada się na straty finansowe e-sklepu niezależnie czy stracił on klienta przez niedostępność strony czy przez brak zaufania do procedury sprzedaży. Przeciętny właściciel e-sklepu nie wie, które z zagrożeń mogą mu się najczęściej przytrafić, które mogą przynieść największe straty, a po rozpoznaniu potencjalnego ryzyka jak się przed nimi obronić. Poniżej przedstawiamy zasady, po zapoznaniu z którymi każdy właściciel e-sklepu będzie umiał zabezpieczyć swój biznes, rozumiejąc w pełni podejmowane przez siebie działania. 1. Czy wiesz na jakie ataki jest wystawiony sklep internetowy? 2. Czy wiesz jak się przed nimi bronić? 3. Czy wiesz jak działają certyfikaty SSL? 4. Czy wiesz jakie masz obowiązki względem ochrony danych osobowych? 5. Czy straty wizerunkowe wynikające z nieodpowiednich zabezpieczeń mogą być równie dotkliwe co finansowe? Jeśli chcesz poznać odpowiedzi na te i wiele innych pytań, które pomogą chronić sklep internetowy zapraszamy do lektury. www.certum.pl 3

1. Bezpieczeństwo a klient Zastanawiałeś się jak podnieść wiarygodność swojego biznesu w Internecie i wyróżnić się na tle konkurencji? Brak zaufania i poczucia bezpieczeństwa to czynnik, który najczęściej decyduje o powstrzymaniu się klientów od zakupów online. 72% internautów przynajmniej raz opuściło stronę WWW, która wydała im się niebezpieczna*. 91% z nich przyznało, że nie opuściłoby tej strony, gdyby posiadała zaufany certyfikat*. * Badania TNS Research Kwestie zabezpieczenia wpływają bezpośrednio na funkcjonowanie danej witryny. Jak wynika z przytaczanego raportu Bezpieczny esklep, rośnie świadomość klientów a wraz z nią wymagania. Wśród ankietowanych aż 98% odpowiedziało twierdząco na pytanie: Czy zwracasz uwagę na bezpieczeństwo w sklepie internetowym?. Jako najważniejsze aspekty wpływające na wzrost zaufania respondenci wymieniali: rekomendacje oraz opinie dotychczasowych klientów, łatwą dostępność danych kontaktowych oraz kontakt z nim, zabezpieczenia sklepu typu SSL, czytelny i uczciwy regulamin, bezpieczne przelewy za pośrednictwem znanych i sprawdzonych form płatności on-line, opcja płatności za produkt przy odbiorze, nagrody i wyróżnienia przyznane sklepowi. W momencie, gdy internauta wchodzi na stronę sklepu, szuka w niej elementów dających mu poczucie bezpieczeństwa i komfortu. Do elementów tych zaliczają się m.in.: profesjonalny i estetyczny wygląd witryny, przejrzysty układ treści, czytelne menu, dobrze widoczne linki do stron informacyjnych, opinie o sprzedawcy i oferowanym przez niego asortymencie, bezpieczeństwo płatności online, informacje o stosowanych zabezpieczeniach i programach ochronnych, najlepiej w formie wyróżniających się symboli graficznych. 4 www.certum.pl

2. Ataki i zagrożenia techniczne Jeśli internetowy biznes padł ofiarą ataku webowego, firma prowadząca e-biznes ucierpi na wielu płaszczyznach. Przede wszystkim - czeka ją dotkliwa strata finansowa. Hakerzy przechwytując dane dostępowe do kont bankowych właściciela e-biznesu, ale i jego klientów, oczyszczają je z oszczędności życia co do grosza. Jeden atak, kilka kliknięć myszką i cały majątek gromadzony latami znika bezpowrotnie. W drugiej kolejności hakerzy zdobywają dostęp do danych firmy i klientów. Uzyskane informacje mogą zostać wykorzystane wszelako od sprzedania ich do baz teleadresowych, po zaciągnięcie pożyczek czy zakup sprzętu na raty. Oszuści wchodzą także w posiadanie poufnych informacji handlowych. Nie do przecenienia jest wiedza dotycząca kontaktów biznesowych, treści przepływających maili i dokumentów, zwłaszcza umów i faktur. Każdy z ataków wiąże się z jeszcze jedną, dotkliwą konsekwencją stratą wizerunkową. Firma, która z powodu własnych niedopatrzeń naraża klientów na poważne straty, poddawana jest ostracyzmowi społecznemu i szerokiej krytyce środowiska. Temat ataków webowych jest na tyle nośny medialnie, że e-sklep, który padł ofiarą hakerów, z całą pewnością uzyska nieprzychylny rozgłos. Wizerunek budowany latami rozsypuje się jak domek z kart, by w wielu przypadkach nigdy nie powrócić na wcześniejszy poziom. Poniżej przedstawiamy listę zagrożeń technicznych, z którymi najczęściej mogą spotkać się sklepy internetowe. www.certum.pl 5

2.1 Phishing i pharming Jednym z podstawowych działań stosowanych przez cyberprzestępców jest wyłudzanie poufnych danych internautów. Najczęściej występującym w e-commerce tego typu zagrożeniem jest tzw. phishing. W metodzie tej nieświadomi niczego internauci zwabiani są na podstawione serwisy. Witryna z pozoru przypomina zaufaną stronę - posiada identyczną szatę graficzną, nawigację, zawartość i podobną domenę co np. oryginalny sklep internetowy. Zalogowanie się na niej skutkuje poznaniem przez oszustów poufnych danych dostępowych. Phishing www.sklep_internetowy.pl www.sklepinternetowy.pl Pharming Hakerzy stosują także pharming, a więc automatyczne przekierowanie na inną witrynę. Internauta, pomimo wpisania poprawnego adresu, zostaje w sposób niezauważony skierowany na oszukaną witrynę, gdzie podaje hakerom poufne dane dostępowe. www.strona.pl www.strona.pl www.nowa_strona.pl Ze strony sklepu internetowego trudno przeciwdziałać tego typu zagrożeniom ponieważ wymagają one szczególnej uwagi ze strony użytkownika. Na pewno dobrą praktyką jest edukacja klientów na temat odpowiedniej weryfikacji poprawności witryn sklepowych. 6 www.certum.pl

2.2 Ataki DDoS AWARIA WITRYNY Innym zagrożeniem, które może znacznie wpłynąć na obniżenie sprzedaży e-sklepu oraz straty wizerunkowe są ataki DDoS prowadzące do zniknięcia witryny z sieci. Tego typu działanie to nic innego, jak prosta metoda przeciążenia systemu. Atak taki najczęściej odbywa się za pomocą odpowiedniego botnetu, czyli zainfekowanej sieci komputerowej, dzięki któremu generowana jest krytyczna liczba odwiedzin strony prowadząca do jej awarii. Jednym ze sposobów czerpania przestępczych korzyści z ataków DDoS jest szantaż przed dokonaniem samego ataku. Rośnie również liczba tego typu działań realizowanych na zamówienie konkurencji, szczególnie jeśli chodzi o coraz bardziej rozwinięty rynek e-commerce. Według różnych szacunków mówi się, że w br. liczba ataków DDoS dokonywanych na polskie strony internetowe mogła wzrosnąć aż dwukrotnie w porównaniu do roku ubiegłego. Pokazuje to jak groźne i aktualne jest to zagrożenie. Występująca obecnie skala ataków DDoS powoduje, że nawet strona małego sklepu może stać się ich ofiarą. Przed takim zagrożeniem trudno wskazać w pełni skuteczną metodę obrony. Do dobrych praktyk wspierających walkę z atakami DDoS należy przygotowanie scenariusza kryzysowego, który będzie mówił o wykorzystaniu awaryjnej powierzchni serwerowej oraz modelu komunikacji z klientami w przypadku kiedy strona zniknie z sieci. Co więcej dobrze na bieżąco monitorować funkcjonowanie strony WWW korzystając w tym celu z jednej z bezpłatnych, bądź bardziej zaawansowanych płatnych aplikacji. www.certum.pl 7

2.3 Nierzetelne i fałszywe systemy płatności Kolejna kategoria zagrożenia jest dość specyficzna. Chodzi tu mianowicie o coraz częstsze przypadki wyłudzeń pieniędzy od sklepów internetowych poprzez nierzetelne systemy płatności elektronicznych, bądź wręcz fałszywe rozwiązania tego typu. Systemy płatności mogą również wpływać na znaczne obniżenie poziomu bezpieczeństwa sklepu internetowego przez własne nieodpowiednie praktyki. Dla przykładu rozwiązanie Sofort stosowane nawet przez polskie sklepy internetowe dużych marek podczas płatności prosi o dane dostępowe użytkowników do systemu bankowości online. W przypadku wycieku, bądź innego niepowołanego wydarzenia użytkownik może stracić przez to posiadane oszczędności. Rozwiązaniem pozwalającym uniknąć kłopotów z nierzetelnymi czy wręcz fałszywymi systemami płatności jest odpowiednia weryfikacja przed wybraniem rozwiązania. Warto zdecydować się na rozwiązanie o pewnej pozycji na rynku zapewniające odpowiedni poziom realizacji transakcji niż szukać oszczędności za wszelką cenę sięgając po niesprawdzone rozwiązania. 8 www.certum.pl

2.4 Spoofing W kontekście kontaktów z klientami warto zwrócić uwagę na spoofing, który często bywa ignorowany. Spoofing to nic innego, jak podrabianie maili. W codziennej działalności e-sklepu tego typu działanie może zakończyć się utratą dobrego wizerunku, np. poprzez błędne odbieranie marki jako spamera. Wydarzenie z ostatnich dni, które dotknęły jedną z posłanek na Sejm RP, pokazują jak duże zamieszanie może wywołać fałszywy e-mail. Cała sytuacja, przypomina jednocześnie o innym podobnym wydarzeniu z listopada 2010 r. Dotyczyło ono wysłania fałszywego maila do jednego z Dyrektorów TVP, rzekomo od samego Szefa Kancelarii Prezydenta. W wyniku podrobionej rekomendacji 25-latek z Wrocławia miał otrzymać posadę i własny program w TVP. Sytuacje tego typu pokazują jak bardzo ufamy technologiom typu e-mail w stosunku, do których większość osób nie stosuje praktycznie żadnych zabezpieczeń i jednocześnie widzimy też jakie konsekwencje mogą wyniknąć z tego typu ataków, które określane są właśnie mianem spoofingu. Schemat ataku typu e-mail spoofing (z ang. spoof - naciąć, oszukiwać) jest bardzo prosty i polega na spreparowaniu specjalnego nagłówka maila w taki sposób aby zawierał informacje takie, jak adres e-mail, nazwę oraz inne dane nadawcy odpowiadające osobie, pod którą ktoś próbuje się podszyć. Dzięki temu można przygotować wiadomość, która będzie na pierwszy rzut oka wyglądała dokładnie tak samo, jak mail od prawdziwego nadawcy. Dopiero szczegółowa analiza nagłówka danego maila pozwala ujawnić nieprawidłowości. Taka praktyka jest powszechnie stosowana m.in. przy rozsyłaniu spamu oraz w atakach phishingowych, w trakcie których haker próbuje podszyć się pod bank, firmę ubezpieczeniową lub instytucję zaufania publicznego. Obecnie, aby przeprowadzić tego typu atak nie jest wymagana praktycznie żadna wiedza techniczna, gdyż w internecie można znaleźć mnóstwo aplikacji oraz nawet stron internetowych, które pozwalają na przygotowanie maila tak aby wyglądał, jak wysłany ze wskazanego przez nas samych adresu. Tak więc atak tego typu jest w stanie przeprowadzić praktycznie każdy kto ma dostęp do internetu, a tym samym można się spodziewać, że tego typu sytuacji może być coraz więcej. We wszelkich zagrożeniach związanych z podejrzanymi wiadomościami e-mail z pomocą przychodzi nam podpis elektroniczny oparty o technologie PKI. Poprzez zastosowanie certyfikatów e-mail (wydawanych np. przez CERTUM PCC) nadawca może podpisać elektronicznie wysyłane wiadomości, co pozwoli na jednoznaczną ich identyfikację przez odbiorcę. Jednocześnie podpis elektroniczny zapewnia integralność korespondencji co pozwala na wykrycie wszelkich zmian w wiadomości, dokonanych przez osoby trzecie. Jeżeli odbiorca wiadomości także dysponuje certyfikatem, nadawca może dodatkowo zaszyfrować wiadomość co pozwoli na utajnienie jej treści przed osobami trzecimi nawet w przypadku przechwycenia jej przez osoby niepowołane. www.certum.pl 9

2.5 Wirusy i włamania do komputera Należy pamiętać, że na bezpieczeństwo prowadzonego e-biznesu ma również wpływ ochrona naszego komputera osobistego, gdzie przechowywane są ważne dane i hasła do systemów zarządzania, np. dane logowania do systemu CMS witryny. Jeżeli komputer zostanie zainfekowany szkodliwym oprogramowaniem np. trojanem kradnącym hasła, cyberprzestępca może wejść w posiadanie danych dających mu kontrolę nad naszym sklepem internetowym. W celu zapewnienia dobrej ochrony należy zadbać o odpowiednie rozwiązania programowe. Aby jak najlepiej chronić swój e-biznes, właściciel powinien pamiętać o zapewnieniu na wszystkich komputerach wykorzystywanych do zarządzania i obsługi sklepu: aktualnego systemu operacyjnego, programu antywirusowego (z aktualną subskrypcją aktualizacji baz wirusów), zapory ogniowej (firewall). Te podstawowe działania zabezpieczą e-sklep przed większością wirusów, robaków, oprogramowaniem crimeware, spyware i bezpośrednimi włamaniami na komputery pracowników. 3. Prawne kwestie bezpieczeństwa danych Przede wszystkim właściciele e-sklepu zobowiązani są do poprawnego skonstruowania regulaminu oraz przestrzegania odpowiednich regulacji prawnych. Aby poprawnie napisać taki dokument proponujemy skorzystać z pomocy firm, które się specjalizują w doradztwie prawnym z tego zakresu. Dobrze napisany regulamin może ustrzec nasz biznes przed przykrymi konsekwencjami złych zapisów. Głośnym echem odbiła się szczególnie sprawa masowego wysyłania tysięcy pozwów przez jedną z tarnowskich kancelarii prawnych wobec sklepów internetowych, w których regulaminach znaleziono nieodpowiednie zapisy. Z pełnym rejestrem klauzul niedozwolonych można się zapoznać pobierając odpowiedni dokument ze strony UOKiK (http://www.uokik.gov.pl/rejestr_klauzul_niedozwolonych2.php). 10 www.certum.pl

Drugą z kolei dziedziną, w której dochodzi do największej ilości naruszeń jest kwestia danych osobowych. Każdy administrator witryny, który zbiera na swoich stronach dane osobowe użytkowników takie jak imię, nazwisko, adres, telefon, e-mail czy numer IP ma obowiązek ich ochrony przed nieuprawnionym dostępem lub przechwyceniem, zgodnie z Ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Powinien także stosować się do innych przepisów, które regulują zagadnienia ochrony danych osobowych w systemach informatycznych (np. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku ) oraz zaleceń Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zgodnie z tymi zaleceniami, konieczne jest zabezpieczenie transmisji danych, np. poprzez stosowanie protokołu SSL. Dodatkowo, każda baza zawierająca dane osobowe musi zostać przesłana do GIODO. Najbezpieczniej dokonać tego przy użyciu podpisu elektronicznego. Poniżej przedstawione jest rozróżnienie grup informacji chronionych prawnie: Dane osobowe Pozwalają na ustalenie tożsamości danej osoby bezpośrednio lub pośrednio, np.: imię i nazwisko, adres, numer telefonu, adres e-mail. Dane wrażliwe Podgrupa informacji szczególnie chronionych: informacji o pochodzeniu etnicznym i rasowym, poglądach politycznych, przynależności religijnej wyznaniowej, związkowej lub partyjnej, o stanie zdrowia, nałogach, życiu seksualnym, o skazaniu lub orzeczeniu o winie (także mandatach). Dodatkowych informacji na temat rejestracji zbiorów danych osobowych można uzyskać na stronie odpowiedniej podstronie serwisu GIODO (http://www.giodo.gov.pl/148/) Na tej stronie możesz uzyskać odpowiedź na takie pytania jak: Kto musi rejestrować swoje zbiory? Które zbiory podlegają rejestracji? Jak zarejestrować zbiór danych osobowych? www.certum.pl 11

4. Pierwsze przykazanie bezpieczeństwa sklepu internetowego certyfikat SSL Certyfikat SSL to najprostszy, pewny sposób zabezpieczenia e-sklepu. Dzięki niemu autentyczność strony zostaje momentalnie zweryfikowana - pojawia się symbol kłódki oraz prefiks https w adresie. Najwyższy poziomem zabezpieczeń zostaje dodatkowo zaznaczony przez podświetlenie paska adresu na zielono. Wyróżnij Swoją stronę zielonym paskiem adresu! Zielony pasek bezpieczeństwa wyświetla naprzemienne nazwę Twojej firmy / organizacji z nazwą Urzędu Certfikacji, który wydała Twój certyfikat EV SSL Choć certyfikat SSL powinien być standardowym narzędziem chroniącym przesyłane informacje, nie wszyscy właściciele e-sklepów inwestują w bezpieczeństwo. Podstawowy certyfikat DV, wydany przez uznane centrum certyfikacji, to w przypadku CERTUM PCC jedyne 199 złotych netto, przekładających się bezpośrednio na wiarygodność, ochronę danych i najwyższe bezpieczeństwo użytkowania serwisu. Unizeto Technologies SA dla potrzeb raportu pokonkursowego Bezpieczny esklep przebadało zabezpieczenia 450 domen e-sklepów. Już wstępna weryfikacja pokazała, że jedynie 26% procent wszystkich sklepów posiadało prefiks https lub symbol kłódki, świadczących o podstawowej ochronie certyfikatem SSL. Zainstalowane certyfikaty SSL 74% 26% Brak SSL Zainstalowany SSL 12 www.certum.pl

Dalsze wyniki udowodniły, że aż 60% certyfikatów SSL należało do podstawowej klasy DV. Certyfikat ten doradzany jest jedynie mniejszym e-sklepom, portalom społecznościowym, blogom, forom oraz niekomercyjnym witrynom WWW. 38% przebadanych stron posiadało certyfikat SSL na poziomie OV - rozwiązanie sugerowane właścicielom stron większych sklepów internetowych, stron urzędów administracji publicznej oraz serwerom pocztowym i baz danych. Jedynie 2% wszystkich witryn gwarantowało najwyższy poziom bezpieczeństwa EV, a więc posiadało certyfikat dedykowany do ochrony prestiżowych sklepów internetowych, bankowości elektronicznej, instytucji finansowych i ubezpieczeniowych. Certyfikat SSL stanowi podstawowe zabezpieczenie danych przesyłanych pomiędzy serwerem a użytkownikiem. Dzięki zaszyfrowaniu komunikatu nikt poza uprawnionymi osobami nie ma do nich dostępu. Zabezpieczone są wszystkie dane osobowe, numery kont i kart bankowych, hasła dostępowe oraz informacje handlowe. Bezpieczną stronę poznasz po: prefiksie https:// przed adresem internetowym, symbolu kłódki w oknie przeglądarki Mozilla Firefox (ikona kłódki pokazuje po kliknięciu w pasku WWW na infomacje o certyfikacie) Google Chrome Microsoft Internet Explorer Zastosowanie certyfikatu Premium EV SSL objawia się podświetleniem adresu na zielono oraz udostępnieniem szczegółowych informacji na temat właściciela strony w certyfikacie. Rodzaje certyfikatów SSL Oferowane certyfikaty zapewniają odmienny stopień ochrony, odpowiedni dla danego typu witryny czy charakteru prowadzonej działalności. Wyróżniamy trzy rodzaje certyfikatów SSL, które różnią się następującymi danymi zawartymi w certyfikacie: nazwa domeny w certyfikacie (DV) - Commercial SSL to najszybszy sposób na uzyskanie wiarygodności w internecie. Już po kilku kliknięciach klient korzysta z szyfrowania o sile do 256-bit. nazwa domeny i organizacji w certyfikacie (OV) - Wydanie certyfikatu Trusted SSL (OV) poprzedzone jest wnikliwą weryfikacją zarówno tożsamości kupującego jak i dostępu do domeny. Certyfikat wydawany jest w 24 godziny od chwili weryfikacji danych. nazwa domeny i organizacji w certyfikacie + zielony pasek + w pasku adresu znajduje się nazwa firmy oraz nazwa wystawcy certyfikatu (EV) - Zainstalowanie Premium EV SSL (EV) poprzedzone zostaje szczegółową, kilkuetapową weryfikacją kupującego. Przeprowadzona zostaje skrupulatna kontrola adresu e-mail, dostępu do domeny, tożsamości, umowy i wniosku. Wszystko to, aby klienci mogli w pełni zaufać witrynom z zielonym paskiem adresu. www.certum.pl 13

Pieczęć CERTUM SSL Oznaka Twojej wiarygodności Jeżeli kupiłeś certyfikat SSL koniecznie pobierz prestiżową Pieczęć CERTUM. Dzięki niej, każda osoba odwiedzająca Twoją stronę natychmiast zyska zaufanie do Twojego serwisu i oferowanych przez Ciebie usług. Gdy użytkownik kliknie na Pieczęć, wyświetli się komunikat potwierdzający posiadanie certyfikatu SSL oraz dane Twojej firmy i strony WWW. Będzie to dla niego jednoznaczna informacja, że znajduje się na bezpiecznej i zaufanej stronie. Korzyści publikowania Pieczęci CERTUM SSL: Zaufanie klientów i użytkowników. Pełna wiarygodność w Internecie. Potwierdzenie najwyższych standardów bezpieczeństwa. Prestiż i dobra opinia w branży. Certyfikat z CERTUM PCC CERTUM PCC jest krajowym liderem bezpieczeństwa w Internecie, które dostarcza niezawodnych i sprawdzonych rozwiązań, które potwierdzają wiarygodność w Sieci. Cechy wyróżniające CERTUM PCC to: JEDYNE polskie centrum certyfikacyjne posiadające pieczęć WebTrust dla wszystkich swoich usług związanych z podpisem elektronicznym: pieczęć WebTrust dla usług i certyfikatów kwalifikowanych, pieczęć WebTrust dla usług i certyfikatów zwykłych (niekwalifikowanych), pieczęć WebTrust Extended Validation dla certyfikatów EV SSL. Dla certyfikatów kwalifikowanych Dla certyfikatów EV SSL Dla certyfikatów niekwalifikowanych i SSL JEDYNY polski Urząd Certyfikacji wpisany na liście światowych zaufanych Centrów Certyfikacji (CA). Najstarsze i największe centrum certyfikacji w Polsce, obsługujące klientów z ponad 50 krajów świata. 14 www.certum.pl

5. Rozważne zarządzanie Należy pamiętać, że wiele kryzysów związanych z bezpieczeństwem wynika z błędów ludzkich, dlatego bardzo ważne jest racjonalne podejście do zagrożeń. Ryzyko można minimalizować m.in. poprzez ograniczenie współpracownikom dostępu do danych dostępowych, a także do poufnych dokumentów, plików i kont. Kolejnym aspektem jest przykładanie dużej uwagi przy dokonywaniu wyboru dostawców usług dla sklepu internetowego, jak np. oprogramowanie, serwery itp. Weryfikacja bezpieczeństwa zapewnianego przez firmy zewnętrzne znacznie wpłynie na uniknięcie zagrożeń, na które później nie będziemy mieć bezpośredniego wpływu. 6. Wnioski Duża liczba zagrożeń, na które są narażone sklepy internetowe powoduje, że trudno sobie z nimi radzić. Jednak dopilnowanie listy dobrych praktyk, które zaprezentowaliśmy w naszym zestawieniu pomoże nam znacznie zmniejszyć ryzyko strat, a nawet zwiększyć obroty sklepu internetowego poprzez zapewnienie klientom poczucia bezpieczeństwa oraz zbudowanie wizerunku pewnego i uczciwego sprzedawcy. Na koniec warto raz jeszcze zadać sobie pytania, które postawiliśmy na początku naszego poradnika: 1. Czy wiesz na jakie ataki jest wystawiony sklep internetowy? 2. Czy wiesz jak się przed nimi bronić? 3. Czy wiesz jak działają certyfikaty SSL? 4. Czy wiesz jakie masz obowiązki względem ochrony danych osobowych? 5. Czy straty wizerunkowe wynikające z nieodpowiednich zabezpieczeń mogą być równie dotkliwe co finansowe? Jeżeli jesteś w stanie odpowiedzieć na każde z powyższych pytań, znaczy to, że poznałeś najważniejsze zagrożenia oraz elementy zapewnienia bezpieczeństwa w sklepie internetowym. Informacje na temat firmy Unizeto Technologies SA jest właścicielem marki CERTUM. Jako firma z branży IT działa nieprzerwanie od 1965 roku. Oferta Unizeto obejmuje produkty, usługi i rozwiązania dedykowane dla rynku administracji publicznej, ubezpieczeń społecznych, służby zdrowia, sektora biznesowego oraz klienta indywidualnego. Główne segmenty działalności oscylują wokół: Podpisu elektronicznego, (lider na rynku dostaw usług certyfikacyjnych oraz rozwiązań związanych z podpisem elektronicznym i PKI), Centrum Danych (gromadzącego, archiwizującego i przetwarzającego powierzane przez klientów poufne dane i dokumenty) oraz Obsługi Korespondencji Masowej, mającej usprawnić, przyspieszyć i obniżyć koszty wynikające z prowadzenia firmowej korespondencji, zarówno w formie papierowej jak i elektronicznej. W bogatej ofercie firmy znajduje się także Fabryka Oprogramowania, tworząca aplikacje Web&Mobile. www.certum.pl 15

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres